trojaner vom forum verteilt

[mfb]

Zur Diskussion über Schuldfragen, hier nochmal der zeitliche Ablauf:

1) ein Staffie einer anderen Webseite hat sich den Trojaner eingefangen
2) dadurch wurde eine andere Webseite infiziert (wir haben mittlerweile eine konkrete im Verdacht - aber das nur nebenbei)
3) dadurch wurde der PC eines Staffmitglieds hier infiziert
4) dadurch wurde diese Seite infiziert
5) dadurch wurden PCs von Benutzern hier infiziert

Wenn hier das Staffmitglied (3) bzw. PlanetDiablo (4) schuld wären an den Infektionen (5), müsste dann nicht auf der gleichen Grundlage die Schuld bei der anderen Webseite (2) bzw. deren Staffie (1) liegen, weil diese keine geeigneten Gegenmaßnahmen getroffen haben?
Nur zu sagen "dadurch wurde ich infiziert, das ist Schuld an dem Trojaner auf meiner Festplatte" ist offenbar zu einfach.

Es bringt nichts, die Schuld immer zurück zur Trojanerquelle zu schieben, denn damit wäre nur der Schreiber der Schadsoftware schuld. Der trägt ganz sicher eine erhebliche Teilschuld daran, aber darum geht es hier doch gar nicht.



Wir haben die Seite vom Netz genommen, so schnell wir konnten. Das war leider nicht innerhalb von Minuten, aber die Zahl der Personen, die das kann, ist eben (auch aus Sicherheitsgründen!) begrenzt und diese sind nicht immer überall sofort erreichbar.


Schadprogramme besitzen keine Uninstall-Routine, und die Infektion sieht auch auf jedem PC etwas anders aus. Daher können wir auch keine Schritt-für-Schritt-Anleitung erstellen, die auf jedem Betriebssystem und bei jedem denkbaren Befall sicher alle Schadprogramme entfernt. Ein sauberes, sicheres Backup ist wohl eine der einfachsten Methoden dafür.



>> Sinnig wäre es jetzt gemeinsam harte Fakten zusammenzutragen und diese den Usern übersichtlich (nicht auf 22 Seiten zwischen allerhand Heulkommentaren) zugänglich zu machen.

Den Trojaner zu erkennen sollte mithilfe unserer News möglich sein, da meines Wissens nach jeder Bericht mindestens eines dieser Anzeichen beinhaltete. Eine allgemeine Anleitung, wie alles entfernbar ist, halte ich für nicht schreibbar. Oder anders gesagt: Hätte ingame sowas, wäre sie innerhalb von Monaten die führende Firma für Computer-Sicherheitsfragen .

 

[Nai]

Also zumindest einen Infothread im Com könnte man ja schon noch erwarten, oder?

ich hab doch gesagt dass ich ein announcement will, und es werden derzeit infos zur bereinigung eines systems im konkreten fall zusammengetragen.
ich warte darauf - meine technischen kenntnisse sind jedenfalls nicht weitreichend genug, um das zu formulieren.

wenn jemand einen entsprechenden post vorformulieren mag: ich lasse mir gern helfen.

 

[Crazy Kenny]

Bei Onlinewelten hat es auch am 5.1. gekracht, hier mal die News vom 8.1. auf deren Seite:

http://gwah.onlinewelten.com/?module=home#news48

Scheinbar genau das gleiche, wie bei uns (zumindest die Dateien sind dieselben). Also hat sich die Person bei uns evtl dort "angesteckt". Vielleicht aber auch nur auf derselben Seite, wie die Person bei onlinewelten. Zu 100% kann man es noch nicht sagen und den schwarzen Peter kann man auch keinem zuschieben, solange man nicht zu 100% sicher ist.




€: Eins noch: Wer wirklich zu 100% sicher gehen will,dass der eigene Rechner sauber ist hat keine andere Chance als diesen neu aufzusetzen. Alles andere kann keine 100%ige Sicherheit garantieren.

 

[MinervasPet]

Ja am 05.01 wurde der Angriff gestartet wahrscheinlich von einem Bot! Die Daten für euren Zugang kann der schon viel früher gehabt haben!

Deshalb müsst ihr euch unbedingt sicher sein wann bei euch die ftp Passwörter ausspioniert wurden nicht das wir in 2 Wochen das gleich Problem bekommen!

EDIT: ich hätte das anders schreiben sollen der Code könnte aber bereits vor 2 Wochen geändert worden sein"(omg Grammatik)

 

[Shihatsu]

erm, burn_me, die passwörter werden sicherlich nicht auf schonmal benutzte geändert - und es wurden alle geändert. zeit spielt da also keine rolle^^

 

[Crazy Kenny]

Alle ftp-Passwörter wurden geändert und der Rechner, von dem aus diese ausspioniert wurden platt gemacht. Ein neuer Angriff trotz Vorsichtsmaßnahmen ist nie zu 100% ausgeschlossen. Heute nicht, in zwei Wochen nicht und auch in 3 Jahren nicht. (Zumindest, wenn nochmal Passwörter ausspioniert werden sollten.) Zumindest mit denen, bei denen der Angriff stattfand hat man keinen Erfolg mehr.

Wenn es so einfach wäre sich gegen alles und jeden zu schützen gäbe es keine Angriffe. Auch keine erfolgreichen.

 

[DonKrawallo]

...
Den Trojaner zu erkennen sollte mithilfe unserer News möglich sein, da meines Wissens nach jeder Bericht mindestens eines dieser Anzeichen beinhaltete.
...

Einspruch !
Zumindest bei mir war es so, daß die Backdoor-SW nicht mehr auf dem Rechner zu finden war, nachdem das Rootkit mit dem Mailserver einmal installiert war.
Oder dieses Rootkit hat seinerseits wieder dafür gesorgt, daß die Backdoor-SW unentdeckt bleibt.
Es gibt also wenigstens ein Szenario, wo diese "manuelle" Suche nach dem Virus erst einmal scheitert.
Mir fehlt hier sowieso der klare Hinweis, daß
a) dieser Backdoor-Trojaner Illredir-B" nur die Spitze des Eisberges ist
und
b) über diese Backdoor alles mögliche an Schadsoftware nachgeladen werden konnte und auch wurde.

 

[Crazy Kenny]

Das heisst du hast garkeine der Dateien auf der Mainpage bei dir gefunden? Weder an diesen Orten noch deren Namen im Tast-Manager?

 

[Kobra331]

merkt man das das dieses rootkit mit mailserver installiert wurde? Oder macht der das versteckt im hintergrund?

 

[Ciraxis]

soviel wie ich aus dem thread herausgelesen hab, gibts ein icon im tasktray ( glaub caligula hat das gesagt ) aber sicher bin ich mir nicht.

 

[DonKrawallo]

merkt man das das dieses rootkit mit mailserver installiert wurde? Oder macht der das versteckt im hintergrund?

Gemerkt hab ichs, als ich eine böse EMail von der Telecom bekam und mich im Forum schlau gemacht habe siehe hier und hier
Finden und identifizieren lies sich das Biest nicht, ich hab den Rechner platt gemacht und neu installiert.
Aber ich habe definitiv nach den besagten Dateien auf der Platte und Einträgen in der Registry gesucht und nichts gefunden.

 

[swoptrok]

ich hab doch gesagt dass ich ein announcement will, und es werden derzeit infos zur bereinigung eines systems im konkreten fall zusammengetragen.
ich warte darauf - meine technischen kenntnisse sind jedenfalls nicht weitreichend genug, um das zu formulieren.

wenn jemand einen entsprechenden post vorformulieren mag: ich lasse mir gern helfen.

Es muss ja nicht gleich ein Thread sein mit Lösungsmöglichkeiten etc, einfach die News von der Mainpage kopieren sollte ja erstmal reichen um die Leute darauf aufmerksam zu machen.
Dann wissen die Leute zumindest mal was los ist und warum sich ihr PC in den letzten Tagen möglicherweise seltsam verhalten hat...

Den Trojaner zu erkennen sollte mithilfe unserer News möglich sein, da meines Wissens nach jeder Bericht mindestens eines dieser Anzeichen beinhaltete.

Dazu sollte man aber erstmal wissen, dass man möglicherweise einen hat... da ja z.B. Antivir versagt hat.
Das ist es ja worauf ich Primär hinauswill, wie man das ganze dann löst etc ist ja eine andere Geschichte.
Aber zunächst mal die Leute darauf hinweisen was los ist wäre schon eine gute Idee. Dann kann man ja einen "Symptome Thread" oder ähnliches, losgelöst von den ganzen Schuldfragen etc. starten in dem jeder der befallen ist schildern kann was bei ihm ablief, dass der Rest schauen kann ob sowas auf ihn auch zutrifft.


Überall wo man sich "anstecken" konnte sollte zumindest mal der Text aus der News stehen, dass auch Leute die nur über Bookmarks auf bestimmte Seiten gehen bescheid wissen. Und das sollte ja echt nicht schwer sein, oder?...

 

[bigAl2]

Einspruch !
Zumindest bei mir war es so, daß die Backdoor-SW nicht mehr auf dem Rechner zu finden war, nachdem das Rootkit mit dem Mailserver einmal installiert war.
Oder dieses Rootkit hat seinerseits wieder dafür gesorgt, daß die Backdoor-SW unentdeckt bleibt.
Es gibt also wenigstens ein Szenario, wo diese "manuelle" Suche nach dem Virus erst einmal scheitert.
Mir fehlt hier sowieso der klare Hinweis, daß
a) dieser Backdoor-Trojaner Illredir-B" nur die Spitze des Eisberges ist
und
b) über diese Backdoor alles mögliche an Schadsoftware nachgeladen werden konnte und auch wurde.

bist du dir eigentlich wirklich sicher, dass es mit den vorkommnissen hier zu tun hat?

wenn man wirklich nichts mehr davon findet, wäre das grauenhaft.

hast du den rechner auch mal von einer boot CD aus scannen lassen á la desinfec´t oder sowas?

cheers

bigal

 

[KingKongo]

Also wenn ich das hier so alles lese, dann frage ich mich was das eigentlich soll.

Was soll das ganze ''Du bist schuld na du bist es der Schuld hat'' geflame?

Wir leben im Jahre 2010 Cyberkriminalität ist mehr present als eh und je, heute wars PlanetDiablo.eu morgen könnte das schon eine allgemeine Seite wie spiegel.de sein.

Es mag ja sein, das es scheisse war das es gerade hier passiert ist. Jedoch muss man auch mal überlegen das InGame uns hier alles zur Verfügung stellt und keinen Cent dafür verlangt. Werbung mag zwar mal lästig sein aber entweder so oder jeder zahlt ne Gebühr aber das mag ja auch keiner.

Es wäre zu verhindern gewesen, da gehe ich jede Wette ein. Aber das ist teuer eine Seite wie Ingame welche sich auf Werbung verlassen muss damit das Geld reinkommt hat nicht eben das Geld um sich teure Industrie Hardware anzuschaffen, ala Cisco Systems Router welche je nach Bedarf in die 5-6 Stelligen bereiche gehen. Deren Firewall ist weit aus besser. Aber hat ingame das Geld um sich das anzuschaffen? Wohl kaum.

Manche reden hier so als wäre es das Ende der Welt.

Das nächste mal ist es eine eurer anderen Seiten die ihr für Vertrauenswürdig erachtet.

Was macht ihr dann?

MfG

Kongo

 

[DonKrawallo]

bist du dir eigentlich wirklich sicher, dass es mit den vorkommnissen hier zu tun hat?

vollkommen sicher kann man natürlich nie sein, wie auch
aber auf allen Seiten und allen Foren wo ich mich sonst regelmäsig rumtreibe (so viele sind das auch wieder nicht) gabs keine Beschwerden von wegen Trojanerbefall,
nur hier. Ist natürlich bestenfalls ein Indiz und kein Beweis.

hast du den rechner auch mal von einer boot CD aus scannen lassen á la desinfec´t oder sowas?

cheers

bigal

Da hab ich mich nicht gerade mit Ruhm bekleckert siehe hier, hier und hier

 

[Pitti911]

Also wenn ich das hier so alles lese, dann frage ich mich was das eigentlich soll.

Was soll das ganze ''Du bist schuld na du bist es der Schuld hat'' geflame?

Wir leben im Jahre 2010 Cyberkriminalität ist mehr present als eh und je, heute wars PlanetDiablo.eu morgen könnte das schon eine allgemeine Seite wie spiegel.de sein.

Es mag ja sein, das es scheisse war das es gerade hier passiert ist. Jedoch muss man auch mal überlegen das InGame uns hier alles zur Verfügung stellt und keinen Cent dafür verlangt. Werbung mag zwar mal lästig sein aber entweder so oder jeder zahlt ne Gebühr aber das mag ja auch keiner.

Es wäre zu verhindern gewesen, da gehe ich jede Wette ein. Aber das ist teuer eine Seite wie Ingame welche sich auf Werbung verlassen muss damit das Geld reinkommt hat nicht eben das Geld um sich teure Industrie Hardware anzuschaffen, ala Cisco Systems Router welche je nach Bedarf in die 5-6 Stelligen bereiche gehen. Deren Firewall ist weit aus besser. Aber hat ingame das Geld um sich das anzuschaffen? Wohl kaum.

Manche reden hier so als wäre es das Ende der Welt.

Das nächste mal ist es eine eurer anderen Seiten die ihr für Vertrauenswürdig erachtet.

Was macht ihr dann?

MfG

Kongo

Ich glaub du hast es nich so ganz mitgeschnitten. Das ganze ist passiert, weil einer der Wenigen die Zugang per FTP haben durch einen Keylogger oder was auch immer (das ist hier wirklich nicht von bedeutung) ausspioniert wurde. Da hilft auch eine noch so tolle Firewall in einem Router von InGame nix, denn hat der Bösewicht einmal die Zugangsdaten zu dem Server muss er nicht mehr die Firewall überlisten.

Das einzige was uns davor bewahrt hätte, wäre gewesen jeden Zugriff auf den FTP-Server von einem garantiert sauberen LiveOS durchzuführen (wahrscheinlich wäre ein Linux System am besten)

UND
Ingame ist erst vor kurzem zu einem professionellen Hoster gewechselt von dem kann man sowas schon verlangen.

MEINE Kritik (und die einiger anderer) war lediglich, dass die Seite während des Befalls nie Komplett vom Netz genommen wurde (ich mutmaße, dass es genau daran lag, dass noch kein Notfallplan für solche Vorfälle existierte und da doch einiges drunter und drüber ging)
Aber das haben die Staffies ja nun schon eingeräumt - Ich bin nun auch besänftigt und freue mich, das an einem Notfallplan gearbeitet wird



@mfb: mich würde sehr interessieren zu welchen Zeiten was passiert ist.
Und ich wiederhole mich gerne nochmal:
Ab wann war die Seite wieder als sauber zu betrachten?

 

[xxx]

Wir leben im Jahre 2010 Cyberkriminalität ist mehr present als eh und je, heute wars PlanetDiablo.eu morgen könnte das schon eine allgemeine Seite wie spiegel.de sein.

Das ist korrekt. Und je frequentierter eine Seite ist, desto eher muss sie auf Sicherheit Ihrer Benutzer achten.

mfb hat ja den Vorgang rekonstruiert:

1) ein Staffie einer anderen Webseite hat sich den Trojaner eingefangen
2) dadurch wurde eine andere Webseite infiziert (wir haben mittlerweile eine konkrete im Verdacht - aber das nur nebenbei)
3) dadurch wurde der PC eines Staffmitglieds hier infiziert
4) dadurch wurde diese Seite infiziert
5) dadurch wurden PCs von Benutzern hier infiziert

Es ist durchaus möglich, dass ein Benutzer von inDia/inWow, auch einen FTP-Zugriff auf die Firmenwebsite hat o.Ä. Und ab diesem Zeitpunkt ist das nicht nur eine Frage des Vertrauens, sondern kann tief in die Tasche der Schadsoftware-verteilenden Seite gehen.

Dass Ingame häufiger Probleme mit Sicherheitslücken hatte, lässt sich im KLA oder im Ingame-Forum nachlesen. Und für übliche Verhältnisse hat die Administration dieses Mal sogar schnell reagiert.

Deren Firewall ist weit aus besser.

Hätte recht wenig gebracht. Die Lücke lag mal wieder in der schwächsten Stelle jedes Systems: Den Benutzer.

 

[DonKrawallo]

...
Es wäre zu verhindern gewesen, da gehe ich jede Wette ein. Aber das ist teuer eine Seite wie Ingame welche sich auf Werbung verlassen muss damit das Geld reinkommt hat nicht eben das Geld um sich teure Industrie Hardware anzuschaffen, ala Cisco Systems Router welche je nach Bedarf in die 5-6 Stelligen bereiche gehen. Deren Firewall ist weit aus besser. Aber hat ingame das Geld um sich das anzuschaffen? Wohl kaum.
...

Die Wette wirst so wohl verlieren.
Wenn die FTP-Passwörter ausgespäht werden hilft auch ein Cisco-Router nicht mehr weiter, da ist einfach Schicht im Schacht, aus die Maus, Feierabend

 

[KingKongo]

@darkster

Jo das kenn ich das Pic.

@ topic

Der Keylogger wäre ers garnicht in das System gekommen wenn der Cisco Router richtig konfiguriert ist.

Ausnahme er wäre via USB Stick gekommen, und es wäre menschliches Versagen.

Leider ist es nun mal passiert und die PW´s wurden ausgespäht.

Das mit dem eher ''langsamen'' Shutdown der Site, war ärgerlich aber das ist denke ich nicht so einfach da Ingame dem Host es erstmal sagen muss das dies und das Down muss.



MfG

Kongo

 

[Pitti911]

Der Keylogger wäre ers garnicht in das System gekommen wenn der Cisco Router richtig konfiguriert ist.

Wieder nicht richtig gelesen: Der Keylogger war auf einem Privaten PC eines zum Zugang berechtigten Staffies. Da hilft dir auch kein Cisco Router.

Außer natürlich du zeigst mir eine Firma, die jedem Mitarbeiter nen eigenen Cisco-Router spendiert